Accueil > Dossiers > RGPD au camping : comment bien appréhender la loi?

RGPD au camping : comment bien appréhender la loi?

Par Bruno Saucourt (cabinet Hisséo) 05/11/2018

Le Règlement général de la protection des données (RGPD), règlement européen adopté le 27 avril 2016, est entré en vigueur le 25 mai 2018. Il renforce considérablement les obligations des entreprises en matière de gestion et de protection des données à caractère personnel dont elles disposent. Un rappel pratique des obligations des campings n’est sans doute pas inutile…

Le Règlement général de la protection des données (RGPD), règlement européen adopté le 27 avril 2016, est entré en vigueur le 25 mai 2018. Il renforce considérablement les obligations des entreprises en matière de gestion et de protection des données à caractère personnel dont elles disposent. Un rappel pratique des obligations des campings n’est sans doute pas inutile…

Sommaire

Données à caractère personnel  : de quoi s’agit-il ?

Les données à caractère personnel peuvent être classées en trois catégories :
• Les données courantes comme l’état civil, l’identité, les données de vie personnelle (habitudes de vie, situation familiale…), les données de vie professionnelle (CV, scolarité, formation…), mais aussi des données comme la plaque minéralogique de son véhicule, etc.
• Les données sensibles comme le revenu, la situation financière, la situation fiscale, les données de localisation (déplacements, GPS…), les données de connexion (adresse IP, log…), etc.
• Les données particulières définies dans les articles 9 et 10 du RGPD, comme l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques, les données de santé, les données concernant la vie sexuelle ou l’orientation sexuelle, les infractions, condamnations, mesures de sûreté.
En France, la CNIL a ajouté le Numéro de sécurité sociale (NIR). Le traitement des données particulières est interdit, sauf exception. Un premier constat est que toutes les entreprises, associations, municipalités, etc. traitent des données à caractère personnel. La loi s’applique donc à tous les organismes publics ou privés. Le second constat est que les données collectées concernent les salariés, les clients, les prospects et les fournisseurs.

Le traitement des données à caractère personnel

La mise en conformité du RGPD ne concerne pas les données à caractère personnel en elles-mêmes, mais le traitement qu’on peut en faire. Par exemple, l’établissement des feuilles de paye traite les données courantes du salarié (nom, prénom, adresse) ainsi qu’une donnée particulière (le numéro de sécurité sociale). Tous les traitements des données à caractère personnel doivent être identifiés, ce qui constitue la première étape du registre de traitement.

La licéité des traitements

La légitimité d’un traitement de données personnelles (la licéité) peut reposer sur les bases suivantes :
• Nécessité du traitement en vue de l’exécution d’un contrat conclu avec la personne concernée.
• Nécessité du traitement pour que le responsable du traitement puisse répondre à une obligation légale qui lui est applicable.
• Nécessité d’effectuer le traitement pour la sauvegarde des intérêts vitaux de la personne.
• Traitement nécessaire à l’exécution d’une mission d’intérêt public.
• Nécessité du traitement aux fins des intérêts légitimes du responsable du traitement.
• Consentement de la personne.
À titre d’exemples, retenons qu’il est licite de collecter le numéro de sécurité sociale d’un nouveau salarié, puisque c’est une obligation légale de le transmettre aux organismes sociaux. En revanche, ce numéro n’est pas une mention obligatoire dans un contrat de travail, il ne doit donc plus y figurer.
De même, il est licite de collecter les allergies d’un enfant lors de son inscription au club enfant puisqu’il s’agit de la sauvegarde de son intérêt vital.
Bien que le registre de traitement ne soit obligatoire que pour les organismes de plus de 250 salariés, il est toutefois fortement recommandé de le mettre en place car il permet à chaque camping ou groupe de campings d’identifier ses causes de non-conformité et de les corriger. Imaginez comment réagirait la CNIL si vous ne pouviez présenter un registre des traitements lors d’un contrôle (comparable à la non-présentation du registre du personnel en cas de contrôle par l’inspection du travail ou par l’URSSAF).

Responsable des traitements ou sous-traitant

Cette notion peut sembler à la fois simple et complexe car les règles ne sont pas toujours bien définies. Le responsable du traitement détermine les finalités et les moyens du traitement, seul ou conjointement avec d’autres. Il a pour obligations :
• le respect des principes fondamentaux ;
• la mise en œuvre du principe de responsabilité ;
• le recueil du consentement des personnes si le traitement repose sur le consentement
• l’information des personnes et de l’exercice de leurs droits ;
• la mise en œuvre des principes de protection by design (dès la conception) et by default (par défaut) ;
• la sécurité des traitements, la notification des violations de données personnelles, la tenue d’un registre.

Le sous-traitant a pour obligations :
• la tenue d’un registre ;
• la sécurité du traitement ;
• de signaler les violations de données personnelles dans les meilleurs délais ;
• de s’engager contractuellement sur une liste d’obligations très contraignantes ;
• d’assister le RT si nécessaire pour informer les personnes et pour permettre l’exercice de leurs droits.

Par exemple, un expert-comptable qui assure l’expertise sociale et juridique est sous-traitant pour l’établissement d’un contrat de travail et des feuilles de paye pour les salariés de ses clients. Un éditeur de logiciel de gestion de camping est sous-traitant, ainsi que le prestataire qui héberge vos noms de domaines et votre messagerie. Il existe également la notion de co-traitance. Par exemple, les campings et la holding peuvent être co-traitants pour la gestion du personnel ; une entreprise et la société d’intérim sont co-traitants dans le cadre d’une mission d’intérim… Il convient simplement d’identifier qui porte la responsabilité du traitement.
Un contrat entre un responsable de traitement et un sous-traitant est obligatoire, et doit comporter une clause RGPD.

Chaque personne peut exercer ses droits

Un autre point important du RGPD, les droits des personnes doivent être respectés, ce qui implique que chaque personne (chaque client, chaque fournisseur, chaque salarié…) doit être informée et savoir à qui s’adresser pour exercer ses différents droits :
• droit d’accès ;
• droit de rectification ;
• droit à l’effacement ;
• droit à la limitation du traitement ;
• droit à la portabilité des données ;
• droit d’opposition ;
• droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé ;
• droit à la communication d’une violation des données personnelles.
Il est donc indispensable de nommer un référent à la protection des données dans chaque camping ou groupe de campings et de mentionner clairement la façon de s’adresser à lui, que ce soit pour les salariés, les clients ou les fournisseurs.
Le RGPD impose même la nomination d’un Délégué à la protection des données (DPD) pour tous les organismes du secteur public, ou réalisant des traitements exigeant un suivi régulier et systématique des personnes, ou des traitements à grande échelle de données particulières. Le DPD doit obligatoirement être enregistré à la CNIL.
Même si la nomination d’un DPD ne concerne pas vraiment les campings indépendants, cette notion est importante car ça peut être le cas des sous-traitants (par exemple, le cabinet d’expertise comptable à qui les payes sont sous-traitées).
Par contre, si le camping, ou le groupe de camping possède sa propre centrale de réservation avec un nombre important de contacts (plus de 3 000 par exemple), alors leur traitement peut être assimilé à des opérations qui, du fait de leur nature, de leur portée et/ou de leur finalité, exige un suivi régulier et systématique à grande échelle des personnes concernées (article 37 du RGPD). Dans ce cas, la nomination d’un DPD est obligatoire.

Les 7 points de recommandation

I. La gestion des salariés
Les règles à respecter :
• Supprimer toute mention du numéro de sécurité sociale dans les contrats de travail rédigés après le 25 mai 2018.
• Ajouter une clause RGPD dans les contrats de travail précisant les traitements qui sont faits avec les données à caractère personnel des salariés et leur durée de conservation.
• Ne plus envoyer de documents contenant des données à caractère personnel par e-mail (demander à votre expert-comptable de vous mettre à disposition un espace sécurisé, appelé coffre-fort électronique, depuis lequel les feuilles de salaire seront téléchargées, mais aussi sur lequel vous pourrez déposer les données permettant l’établissement des contrats de travail ou les payes).
• Définir votre politique de conservation des données et l’appliquer…
• Ne collecter que les données nécessaires aux traitements décrits dans le registre.

II. La réservation des clients
Les règles à respecter :
• Les coordonnées bancaires ne peuvent être conservées que le temps du règlement et doivent être effacées après la ou les transactions en cas de paiement en plusieurs fois.
• Avant la collecte des données à caractère personnel, le client doit être informé clairement sur les traitements qui seront faits avec ses données.
• Lors d’une réservation téléphonique, il est nécessaire de collecter une adresse mail ou postale dans le but d’envoyer le contrat de réservation ainsi qu’un document détaillant la protection des données que le client devra remettre à l’accueil en arrivant.
• Lors d’une réservation par un site de e-commerce, la démarche est de ne collecter que l’adresse mail, puis d’envoyer un mail au client pour valider son adresse et afficher immédiatement une page Web expliquant la liste des données collectées et la finalité des traitements que vous allez réaliser. Le client doit approuver ces traitements avant qu’il ne puisse saisir la suite de ses données. Le consentement qu’il vous a apporté doit être tracé, de même que l’exercice de ses droits.

III. Le site Web
Les règles à respecter :
• Une mention contenant la protection des données à caractère personnel doit être accessible clairement à l’identique d’une page «â€¯mentions légales ».
• La gestion des domaines est généralement confiée à un sous-traitant. Il est important d’identifier la localisation des serveurs (ainsi que celles de ses sous-traitants) afin de vérifier si les données sont transférées hors Union Européenne.

IV. la gestion des prospects
Si le logiciel de gestion des clients ou des fichiers contient des prospects issus de demandes qui ont été réalisées dans le passé et qui n’ont fait l’objet d’aucune réservation, il est nécessaire de les effacer après un délai de trois ans (prescription de la CNIL). Il est toujours possible d’envoyer un message aux prospects pour les avertir, et s’ils souhaitent continuer à recevoir vos informations, ils doivent donner leur accord, et vous devez le tracer.

V. Le logiciel de gestion
Le logiciel de gestion d’un camping est souvent un logiciel métier. Comme la plupart des outils informatiques utilisés, l’éditeur est un sous-traitant qui doit remplir de nombreuses obligations et doit les justifier. La protection des données à caractère personnel doit être faite à la conception, et non pas par défaut. Par exemple, après le départ d’un client, des traitements automatisés doivent être réalisés comme la suppression de l’historique d’accès, l’encryptage des données de paiement avant leur suppression définitive, etc.

VI. L’accueil
C’est un des points ou les non-conformités sont nombreuses… Les règles à respecter :
• Installer des broyeurs afin de détruire les listes quotidiennes imprimées concernant les départs, les arrivées, les services, les locations, etc.
• Conservez les données liées aux cautions bancaires, aux vouchers, etc. dans un endroit sécurisé en appliquant votre politique de conservation de données.
• Sensibiliser et former les saisonniers sur la protection des données à caractère personnel. Plus qu’une recommandation, c’est une obligation du RGPD.

VII. La sécurité des données
Les règles à respecter :
• Comme mentionné pour l’accueil, les données imprimées doivent être régulièrement détruites (et pas seulement mises dans une poubelle ou dans un bac de recyclage).
• Les archives doivent également être détruites en respectant les obligations légales.
• L’accès aux outils informatiques doit être protégé par mot de passe (minimum 8 caractères mélangés avec changement de mot de passe tous les 90 jours).
• Les mails doivent également être nettoyés (attention aux mails qui sont conservés chez le prestataire qui gère vos noms de domaines et vos adresses mail. Leur système de messagerie doit être sécurisé).
• Ne jamais envoyer de documents contenant des données à caractère personnel en pièce jointe par messagerie sans les avoir cryptés (il existe plusieurs utilitaires gratuits qui permettent de faire des cryptages de documents ou de dossiers).

La gestion des mots de passe

L’ ANSSI a publié ses recommandations en matière de gestion des mots de passe :
• Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle
et sa messagerie personnelle est impérativement à proscrire.
• Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.).
• Ne demandez jamais à un tiers de générer pour vous un mot de passe.
• Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent.
• Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis.
• Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier ou un post-it collé à coté de l’écran.
• Ne vous envoyez pas vos propres mots de passe sur votre messagerie.
• Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se «â€¯souviennent » pas des mots de passe choisis. La robustesse d’un mot de passe dépend en général d’abord de sa complexité, mais également de divers autres paramètres, expliqués en détail dans le document

Recommandations de sécurité relatives aux mots de passe de l’ANSSI.
Si vous souhaitez une règle simple : choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).
Deux méthodes pour choisir vos mots de passe :
• La méthode phonétique : «â€¯J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD %E7am ;
• La méthode des premières lettres : la citation «â€¯un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

La conservation des données

Le ministère des Finances a publié récemment un rappel sur les durées légales de conservation des documents d’une entreprise :
Documents civils et commerciaux
• Les contrats conclus dans le cadre d’une relation commerciale, les documents bancaires et les documents établis pour le transport de marchandise doivent être conservés pendant 5 ans.
• Les déclarations en douane doivent être conservées pendant 3 ans.
• Les contrats d’acquisition ou de cession de biens immobiliers ou fonciers doivent être conservés 30 ans.
• Les autres documents tels que les factures clients ou fournisseurs, les contrats conclus par voie électronique, les correspondances commerciales telles que les bons de commande, les bons de livraison… doivent être conservés 10 ans.
Documents et pièces comptables
• Les livres et les registres comptables, ainsi que les pièces justificatives doivent être conservées pendant 10 ans.
Documents fiscaux
• L’article L102B du Livre des procédures fiscales stipule que «â€¯les livres, registres, documents ou pièces sur lesquels peuvent s’exercer les droits de communication, d’enquête et de contrôle de l’administration doivent être conservés pendant un délai de 6 ans […] ». Cela concerne notamment l’impôt sur le revenu, l’impôt sur les sociétés, les bénéfices industriels et commerciaux (BIC), les bénéfices non commerciaux (BNC), les impôts directs locaux, la cotisation foncière des entreprises (CFE), la valeur ajoutée des entreprises (CVAE), la taxe sur la valeur ajoutée (TVA), etc.
Documents sociaux
• Les statuts de la société doivent être conservés pendant 5 ans à partir de la radiation de la société du registre du commerce et des sociétés.
• Les documents relatifs au compte annuel (bilan, compte de résultat, annexe…) doivent être conservés 10 ans.

Nous vous recommandons

Dans la même catégorie

dossiers

LABELS ET CHARTES ÉCORESPONSABLES : comment s’y retrouver ?

L’engagement dans une démarche environnementale passe très souvent par une « officialisation » via un label, une charte éthique ou une marque écoresponsable, afin d’être reconnu par le grand public comme par les pouvoirs publics. Pas facile de s’y re trouver dans un paysage environnemental qui contient une dizaine de marques et labels. Tour d’horizon….

Par Jean-Guilhem de Tarlé 26/10/2022
dossiers

Santé au travail : Les évolutions du Document unique

Au centre de la loi du 2 aout 2021 relative à la santé au travail Le Document Unique d’Evaluation et de Prévention des risques professionnels (DUEPRP) évolue et modifie les obligations de l’ employeur. Des détails à prendre en compte. Par Martine Barbier, Docteure en droit, Directrice Formation-Social PartenairesConsulting

Par Martine Barbier-Gourves 24/08/2022
dossiers

Transmission d’entreprise: posez-vous les bonnes questions!

Les raisons sont multiples qui peuvent susciter chez un propriétaire de camping l’envie de transmettre son entreprise. On ne le dira jamais assez, une transmission réussie nécessite du temps et de l’anticipation tant pour régler l’incontournable dimension affective que pour optimiser fiscalement cette opération d’envergure. En quatre questions fondamentales, abordons la nécessaire stratégie pour aborder une transmission dans les meilleures conditions.

Par Cabinet BDO 18/08/2022
dossiers

de 1 à 4 chambres: le mobile-home répond à tous les besoins des campings

La difficulté à s’équiper en mobile-homes pour la saison 2022 n’empêche pas de se renseigner pour la saison suivante, sur les gammes de nos constructeurs nationaux.  Dans des cellules de 20 à 40 m², les constructeurs déclinent aujourd’hui une offre particulièrement riche avec des modèles de une à quatre chambres pouvant répondre aux besoins de toutes les typologies de clientèle, du couple à la famille (très) nombreuse. Ils ont aussi la particularité de proposer des produits répondant à différents standings pour un même camping, haussant notamment le niveau de prestations au fil des années. Tour d’horizon…

Par Bruno Lacroix 23/02/2022